2019-1184: ChakraCore: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit Benutzerrechten

Historie:

Version 1 (2019-06-12 16:03)

Neues Advisory

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in der Microsoft Scripting Engine ChakraCore ermöglichen einem entfernten, nicht authentisierten Angreifer beliebigen Programmcode mit den Rechten des angemeldeten Benutzers auszuführen und in Abhängigkeit der vom Benutzer verwendeten Rechte ein betroffenes System ggf. komplett unter seine Kontrolle zu bringen. Weitere Schwachstellen ermöglichen einem solchen Angreifer das Ausspähen von Informationen.

Microsoft stellt das offizielle Release ChakraCore 1.11.10 zur Behebung der Schwachstellen bereit. Die Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Development Tools' identifiziert werden. Eine weitere dort aufgeführte Schwachstelle im Azure DevOps Server wird in einem eigenen Sicherheitshinweis behandelt. Microsoft stuft alle für ChakraCore veröffentlichten Schwachstellen als kritisch ein.

Schwachstellen:

CVE-2019-0989 CVE-2019-0991 CVE-2019-0992 CVE-2019-0993 CVE-2019-1002 CVE-2019-1003 CVE-2019-1024 CVE-2019-1051 CVE-2019-1052

Schwachstellen in ChakraCore ermöglichen Ausführung beliebigen Programmcodes mit Benutzerrechten

CVE-2019-0990 CVE-2019-1023

Schwachstellen in ChakraCore ermöglichen Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.